返回

NK黑客在韩国网站上部署浏览器漏洞来传播恶意软件

发布时间:2022-02-19 12:56:01 664
# 漏洞# 研究# 恶意软件# 软件# 黑客
Malware

作为针对韩国在线报纸的战略网络妥协(SWC)的一部分,一名朝鲜威胁行为人被发现利用Internet Explorer中的两个漏洞,用定制植入物感染受害者。

网络安全公司Volexity将“水坑”攻击归因于它追踪的一个名为InkySquid的威胁参与者,该公司更广为人知的绰号是ScarCruft和APT37。据说每天出版的NK,都是从2021年3月底到2021年6月初托管恶意代码的。

Volexity的研究人员称,“在合法代码中巧妙地伪装利用代码”和使用定制恶意软件使攻击者能够避免被检测到。

这些攻击涉及篡改网站上托管的jQuery JavaScript库,以从远程URL提供额外混淆的JavaScript代码,利用它来利用2020年8月和2021年3月由微软修补的两个Internet Explorer漏洞的漏洞。成功的开发导致部署了钴打击stager和名为BLUELIGHT的新型后门。

  • CVE-2020-1380(CVSS分数:7.5)-脚本引擎内存损坏漏洞
  • CVE-2021-26411(CVSS分数:8.8)-Internet Explorer内存损坏漏洞

值得注意的是,这两个漏洞都在野外被积极利用,后者被朝鲜黑客利用,在今年1月早些时候曝光的一场活动中,危害了从事漏洞研究和开发的安全研究人员。

在上个月披露的另一组攻击中,发现一名身份不明的威胁参与者利用同一漏洞在受损的Windows系统上发布功能齐全的基于VBA的远程访问特洛伊木马(RAT)。

BLUELIGHT在成功发射Cobalt Strike后被用作第二有效载荷,作为功能齐全的远程访问工具,提供对受损系统的完整访问。

除了收集系统元数据和有关已安装防病毒产品的信息外,该恶意软件还能够执行外壳代码,从Internet Explorer、Microsoft Edge和Google Chrome浏览器中获取cookie和密码,收集文件并下载任意可执行文件,其结果将导出到远程服务器。

研究人员指出:“虽然SWC不像以前那么受欢迎,但它们仍然是许多攻击者的武器库中的武器。”。“对Internet Explorer和Microsoft Edge使用最近修补的漏洞攻击只会对有限的用户有效。”


特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线